1

Apport des théories de la gouvernance des entreprises

pour définir une gouvernance du cyberespace

Dr Sandro Arcioni, chef d’entreprise, enseignant-chercheur, lieutenant-colonel, expert en

opérations d’influence et cyberdéfense, Suisse (sandro.arcioni@gmail.com)

RESUME

Le Cyberespace est un espace qui devrait être métagouverné, mais en fait il ne l’est pas !

Pourtant la cybersécurité est aussi importante pour un chef d’Etat que pour une nation. La

visibilité et la compréhension des « cybermenaces », leur classification et les outils pour y

faire face sont la meilleure façon d’anticiper et de se préserver contre les cyberagressions :

unir les forces, se protéger, identifier, informer, dénoncer, aider. La détection d’événements

ne doit plus seulement être basée sur une détection par signatures mais sur une approche

comportementale. Il faut comprendre la volonté et l’idée de manœuvre de l’attaquant et

rechercher son identité. Peu de nations sont capables de le faire faute de moyens

technologiques importants et d’un savoir-faire hors du commun nécessaires.

L’intérêt de cet article est une réflexion et une application des modèles de gouvernance à

d'autres organisations que les entreprises commerciales. Entant donnée que les organisations

sportives se trouvent déjà dans une économie relationnelle et le cyberespace également, il

s’agit d’utiliser les modèles de gouvernance des organisations sportives, relavant de modèles

de gouvernance particuliers de la gouvernance d’entreprise afin de donner des pistes pour

l’application d’une métagouvernance du Cyberespace.

Par exemple, par la mise à disposition de ses bons offices, la Suisse pourrait offrir à

l’ensemble des nations un « Observatoire Mondial de Contrôle et d’Observation des

Cyberagressions » et une aide aux nations qui ressentiraient le besoin de se prémunir contre

des cyberagressions et/ou d’identifier les belligérants qui leur auraient fait subir des

désagréments ou des destructions dans le but d’améliorer déjà la gouvernance du cyberespace

et sa régulation en faisant condamner ces agressions sur le plan international.

Mots-clés : Gouvernance, IT-Gouvernance, Cybersécurité, Cyberagressions, Intelligence

économique, Cybercriminalité, Cyberterrorisme, Cyberguerre, Observation

comportementale.

2

Apport des théories de la gouvernance des entreprises

pour définir une gouvernance du cyberespace

La Suisse a, de tout temps, fait figure de précurseur dans le domaine des organismes

internationaux d’entraide sur le plan humanitaire. C’est en 1863 qu’un groupe de citoyens de

la ville de Genève, dont faisaient partie Gustave Moynier, Henri Dunant (prix Nobel de la

paix en 1901) et Guillaume-Henri Dufour, crée une nouvelle organisation : le Comité

International de la Croix Rouge, qui est actuellement la plus ancienne organisation

humanitaire existante. Fortes de cette tradition, la Suisse et Genève verront s’installer sur le

territoire de la Confédération un grand nombre d’organisations internationales à buts

philanthropiques ainsi que de nombreuses agences importantes des Nations unies telles que :

Organisation mondiale de la santé (OMS) ;

Organisation météorologique mondiale (OMM) ;

Organisation mondiale de la propriété intellectuelle (OMPI) ;

Organisation internationale du travail (OIT) ;

Union internationale des télécommunications (UIT) ;

Haut-Commissariat des Nations unies pour les réfugiés (HCR) ;

Organisation internationale pour les migrations (OIM) ;

Haut-Commissariat des Nations unies aux droits de l'homme (HCDH) ;

Centre du commerce international (CCI).

En matière de résolution de conflits, la Suisse offre également ses bons offices par des

proposition de « territoire neutre » pour des négociations, des centre de compétences dans les

domaines du déminage, des armes chimiques, du nucléaire, etc.

Avec les années et l’arrivée sur le marché de nouvelles technologies, la Suisse se doit de

rester créative et visionnaire. Avec ces nouvelles technologies, les modèles de gouvernance

traditionnels se voient bouleversés surtout lorsque les frontières disparaissent. Dès lors, la

gouvernance du cyberespace peut être comparée à la gouvernance des organisations

internationales sportives qui se gouvernent sans frontières ni territoires nationaux. La

prospective pour un pays comme la Suisse doit l’aider à s’engager dans la création de

nouveaux organismes internationaux d’entre-aide et apporter également ses connaissances en

matière de gouvernance et de fédéralisme.

Le but de cet article est d’analyser les nouveaux besoins en de matière gouvernance du

cyberespace, de l’anticipation et de la résolution de conflits en son sein, par une approche de

régulation.

3

1. Introduction

Les guerres telles que la « grande guerre », la deuxième guerre mondiale, les guerres

modernes : Guerre du golf, Irak, Afghanistan, Lybie, etc. ainsi que les guerres civiles

(Syrie,...) représenteront toujours l’horreur et la souffrance pour les populations. Aujourd’hui

la réalité a dépassé la fiction d’hier et la menace de la cyberguerre est bien avérée. Ne parlons

même pas de la « guerre des étoiles » démesurément coûteuse, qui a déjà condamné en partie

l’économie américaine sous la présidence Bush.

En quoi ce nouveau type de guerres menacent-t-elles les populations ? Au même titre que la

guerre conventionnelle, la cyberguerre cible les mêmes objectifs mais n’utilise aucun des

moyens militaires traditionnels mais uniquement la réflexion, le chantage, l’influence et les

nouvelles technologies : l’informatique et les réseaux de télécommunication. Très peu

coûteuse pour l’attaquant, elle profite alors à toute nation ou groupuscule qui désire nuire à

une autre nation ou à un autre groupe de population. L’Internet est devenu un champ de

bataille extraordinaire pour un très grand nombre d’opérations de ce genre.

La prospective est « la démarche qui vise, dans une perspective à la fois déterministe et

holistique, à se préparer aujourd'hui à demain »1. « Elle ne consiste pas à prévoir l'avenir mais

à élaborer des scénarios possibles sur la base de l'analyse des données disponibles (états des

lieux, tendances lourdes, phénomènes d'émergences) et de la compréhension ainsi que la prise

en compte des processus socio-psychologiques » comme le rappelle Michel Godet (1997) :

« si l'histoire ne se répète pas, les comportements humains se reproduisent ». La prospective

doit donc aussi s'appuyer sur des analyses rétrospectives de la mémoire historique du passé

humain et écologique (par exemple, les impacts environnementaux et humains des

modifications « géoclimatiques »).

Le cyberespace, constitué par le maillage de l’ensemble des réseaux, est radicalement

différent de l’espace physique. Il est sans frontière, en constante évolution, anonyme et

l’« identification certaine » d’un agresseur y est délicate. Un peu comme les frontières des

pays/nations face aux changements climatiques.

N’entrons pas dans les détails des domaines de l’intelligence économique, de la défense, de la

prospective du « métier » du chef d’Etat, de son comportement dans les processus

diplomatiques, des pratiques de gouvernance, des prospectives sectorielles et des impacts

environnementaux.

1 http://fr.wikipedia.org/wiki/Prospective

4

Sur le plan international, les nouvelles capacités d’influence des ONG s’accompagnent d’une

transformation des modes d’exercice du pouvoir. Les organisations ne gouvernent plus ou ne

contrôlent plus complètement leurs structures. Quand elles y parviennent, c’est en vertu de

leurs capacités à négocier les buts à atteindre plutôt qu’en dictant des objectifs ou des

missions à des collaborateurs et/ou des partenaires passifs.

On décrit habituellement cette évolution en parlant d’un passage d’une logique de

gouvernement à une logique de gouvernance. Selon Pérez (2003), « la gouvernance se réfère à

un dispositif institutionnel et comportemental qui régit les relations entre les dirigeants d’une

entreprise – plus largement, d’une organisation – et les parties concernées par le devenir de

ladite organisation, en premier lieu celles qui détiennent des « droits légitimes » sur celle-ci ».

La gouvernance d’une organisation repose sur des hommes et ce sont ces derniers qui

structurent l’organisation et configurent le pouvoir qui la dirige.

Le cyberespace en fait partie et par sa configuration supranationale, ressemble plus à une

organisation internationale sportive (Comité International Olympique – CIO –, Fédération

Internationale de Football Associations – FIFA –, etc.) qu’à l’organisation d’un territoire

d’une nation, si l’on ose la comparaison.

Dès lors, le point le plus discuté de la gouvernance des organisations sportives est celui du

rôle et du contrôle des mandataires sociaux au sein des personnes morales. Les dirigeants

d’une organisation – société commerciale, établissement public, association à but non lucratif,

etc. – s’expriment et agissent « au nom » de cette organisation. Dans cette logique, les

dirigeants peuvent signer des contrats, faire des opérations et transactions de type financier,

matériel et humain à grande échelle. Les questions relatives à leur nomination comme

mandataires sociaux, aux conditions d’exercice et de contrôle de leurs mandats sont de ce fait

légitimes (Suchman, 1995) et font de la gouvernance des organisations un point essentiel des

systèmes de management de ces dernières. Il va de soi que l’éthique des dirigeants, tout

comme la configuration du pouvoir de l’organisation dans laquelle ils vont évoluer, auront

une importance capitale sur les modalités de la gouvernance de cette organisation. Ceci

justifie l’importance accordée à l’analyse organisationnelle (structure de l’organisation,

organigramme clair et transparent, définitions des rôles et des tâches des acteurs sans

ambiguïté) et comportementale (comportement des acteurs dans l’organisation, influence des

prises de décisions dues à un comportement de l’acteur sur l’organisation, etc.). Par contre,

dans le cyberespace la notion de la légitimité des acteurs est encore bien différente puisqu’il

n’y a pas de notion d’identification systématique des acteurs ; ces derniers pouvant aisément

se cacher derrière une autre identité que la leur ou rester anonyme. Il existe bien une charte de

5

l’utilisation de l’Internet, c’est-à-dire du cyberespace, mais finalement est-elle respectée si

une partie des acteurs peuvent rester anonymes ?

Cet article vise à sensibiliser les chefs d’Etat aux impacts de la cybersécurité sur leur nation et

encourager la Confédération suisse à poursuivre ses efforts de création d’organes

internationaux en matière de bons offices pour répondre aux besoins futurs des nouveaux

enjeux mondiaux.

2. Que dit la littérature ?

Nous distinguerons trois approches de la littérature : la « corporate governance » à la

métagouvernance, la gouvernance des organisations internationales sportives et l’études des

technologies.

2.1 De la corporate governance à la métagouvernance

Les travaux de Pérez (2003) apportent une dimension nouvelle dans l’analyse de la

gouvernance des organisations. Pérez propose une compréhension des fondements et des

problèmes posés par la « corporate governance », tels qu’asymétrie d’information,

enracinement des dirigeants, procédure pour les « discipliner », etc. A cet effet, Pérez propose

d’analyser :

le dispositif propre à l’organisation : la souveraineté de l’assemblée générale, le rôle du

conseil d’administration, la composition et le renouvellement du conseil d’administration,

la composition des différentes commissions et des comités ad hoc, le statut et la fonction

du président et/ou directeur général ;

le dispositif d’appuis : le contrôle des comptes (auditeurs, experts et certificateurs),

l’évaluation financière et organisationnelle (analystes financiers et agences de notation),

intermédiaires financiers (parties prenantes, investisseurs) ;

le dispositif de régulation : les organisations professionnelles, les tutelles administratives,

les autorités de régulation, les instances juridictionnelles ;

les outils opérationnels de la « corporate governance » orientés vers les parties prenantes :

un indicateur de financement, un indicateur de performance (mesure de la création de

valeurs), un principe de mesure comptable, un mécanisme incitatif (rémunérations

motivantes des dirigeants), un mécanisme disciplinant ;

6

le comportement des acteurs financiers : directeur financier, comptables, commission des

finances, commission d’audit, indépendance des vérificateurs des comptes et de la

commission financière, indépendance de l’organe de révision ;

le comportement des dirigeants : les choix stratégiques (diversification au recentrage des

activités, choix des systèmes opérationnels, choix des systèmes de financement,…), la

modification des systèmes de management (structure organisationnelle, mesures

incitatives de dirigeants, système d’information et de communication privilégiant le

reporting interne et la communication financière externe) ».

C’est pour ressortir ces différents éléments que Pérez distingue cinq niveaux progressifs de

gouvernance – du management d’une organisation jusqu’au cadre légal et sociétal dans lequel

elle opère – qui seront autant d’angles de description et d’analyse de la gouvernance actuelle

d’une organisation.

Selon Pérez, un système de gouvernance a pour objet central les dirigeants d’une

organisation, la gouvernance représentant, en ce sens le « management du management ». Il

s’exprime par un dispositif institutionnel (c’est-à-dire par un ensemble de structures et de

procédures) et des comportements ainsi qu’il est régulé par un dispositif impliquant, selon les

situations, des organisations professionnelles, des autorités administratives et des instances

juridictionnelles. Il s’exerce au profit de parties prenantes détentrices de droits définis d’une

manière contingente par les sociétés politiques au sein desquelles les organisations concernées

sont insérées.

Pérez tient compte de la sensibilité culturelle des acteurs des organisations, notamment, par sa

description des différents types de gouvernance en fonction des pays ou des continents où est

gérée l’organisation, mais aussi par l’écoute des nouveaux comportements comme ceux dits

« socialement responsables ».

Appliqués aux organisations, les systèmes de management et de gouvernance s’intègrent sur

trois (au moins) à cinq niveaux (dans le meilleur des cas, si on arrive à définir un niveau

méta-états-nations), en fonction de la couverture territoriale de l’organisation. A la manière

des poupées russes, les systèmes de management des organisations sont encastrés

successivement via leurs dispositifs de gouvernance et de régulation : cinq niveaux de

l’organisation des systèmes de management et articulation des dispositifs de gouvernance :

- Niveau 1 : Management des organisations ou « corporate governance » par leurs

dirigeants,

7

- Niveau 2 : Gouvernance ou « management du management » par les instances propres à

chaque organisation (statuts, conseil d’administration, assemblée générale, …),

- Niveau 3 : Régulation ou « management de la gouvernance » par des dispositifs

spécifiques : organisations professionnelles (ordres), autorités administratives (autorités

dédiées), instances juridictionnelles,

- Niveau 4 : Harmonisation des dispositifs de régulation ou « gouvernance de la

gouvernance » par la voie politique (lois, règlements), par la voie juridictionnelle

(instance d’appel),

- Niveau 5 : Métagouvernance : principes fondamentaux concernant l’organisation de la vie

collective : au niveau des états (constitutions) au niveau international (traités

internationaux).

2.2 La gouvernance des organisations internationales sportives

On distingue trois principaux types de gouvernance dans le domaine sportif:

La gouvernance systémique s’est développée avec l’intensification de la complexité de

l’environnement des affaires et de la politique. Le sport évolue dans un environnement de

plus en plus complexe. Il se caractérise par l’interaction entre des organisations et des groupes

dont les intérêts divergent : les médias, les sponsors, les agents des joueurs, les grands clubs et

leurs actionnaires notamment dans le sport professionnel. La gouvernance systémique

concerne la compétition, la coopération et toutes les formes d’interaction entre ces systèmes.

La gouvernance organisationnelle ou « corporate governance » fait référence aux normes et

aux valeurs reconnues pour l’attribution des ressources, la répartition des pertes et profits

(financiers ou autres) et pour la conduite des processus liés à la gestion et à la direction

d’organisations dans le monde du sport et des affaires.

La gouvernance politique est liée aux processus qui permettent aux gouvernements et aux

instances dirigeantes de diriger le système sportif afin d’atteindre les résultats escomptés par

pression morale, incitation financière ou autres, ou en autorisant régulation et contrôle afin

d’influencer les organisations sportives et les amener à agir dans le sens des résultats attendus.

8

Ces trois formes de gouvernance et leurs interactions ont été présentées par I. Henry (2005)

(Corrélation de la gouvernance) dans le schéma ci-dessous :

Figure 2-1 : Les trois approches de I. Henry

Le « monde du sport » et de ses organisations est un univers complexe par la multiplicité et la

diversité des éléments qui le constituent, par l’ambiguïté des relations qui s’établissent entre

eux et avec leur environnement (Fédérations Internationales sportives (FI), Fédérations

Nationales Sportives (FNS) et les comités d’organisation, le système olympique, le Tribunal

Arbitral du Sport (TAS), l’Agence Mondiale Antidopage (AMA), les Etats-nations, l’ONU,

etc.).

Si l’on retient les différences proposées par Henry (2005) entre gouvernance systémique,

gouvernance politique et gouvernance organisationnelle nous constatons que la FI se trouve

confrontée à une gouvernance organisationnelle portant essentiellement sur l’organisation de

son siège et du système fédéral (avec les FNS), c’est-à-dire les parties prenantes internes.

Mais, elle est également confrontée à une gouvernance politique en relation avec les Etats-

nations et à une gouvernance systémique en relation avec le système olympique et

l’environnement sportif en général, soit les parties prenantes externes. Tout ceci montre la

complexité de la situation à laquelle une FI doit faire face.

2.2.1 Evolution de l’approche de Pérez

Les modèles classiquement utilisés pour comprendre la gouvernance des Organisations à But

Non Lucratif (OBNL) sont présentés. Compte tenu des spécificités des OBNL telles que les

9

FI, le cadre d’analyse de Pérez (2003), intégrant une analyse de la « corporate governance »

jusqu’à la métagouvernance », présente un intérêt tout particulier pour notre étude. Dans

l’étude d’Arcioni et Bayle (2009), ces derniers ont apporté des modifications à la terminologie

de Pérez se rapportant à certaines dimensions par souci d’une plus grande clarté :

- dimension gestion (niveau 1) : dimension décrite par Pérez et faisant partie du niveau 1 de

la gouvernance : management. Cette dimension nous permettra d’analyser, en fonction des

résultats de notre enquête et au regard des indicateurs décrits plus loin, comment la FI est

gérée (solidité financière, efficacité de sa gestion pour son développement…) ;

- dimension identitaire (ou culturelle)2 (niveau 1 et 2) : dimension toujours décrite par Pérez

et tenant compte des deux niveaux 1 et 2 de la gouvernance3, regroupant aussi bien le

niveau du management que celui de la gouvernance donnant une vision intéressante de la

gouvernance en fonction des diversités identitaires et culturelles aussi bien humaines que

du sport. En fonction des indicateurs choisis, nous aurons un aperçu de l’évolution de la

FI depuis sa création ;

- dimension configuration du pouvoir interne (niveau 2) : à cette dimension décrite par

Pérez comme configuration du pouvoir, nous y ajoutons le mot interne, afin de bien

préciser le contexte, c’est-à-dire la configuration du pouvoir au siège de la FI, plus

spécifiquement. Cette dimension nous permettra d’avoir un aperçu du système de

gouvernance au niveau 2 de Pérez, de la composition et de la « puissance » du pouvoir

interne ;

- dimension régulation interne (niveau 3) : ou dimension des contrôles internes. Au terme

utilisé par Pérez, « régulation », nous ajouterons le qualificatif « interne », afin de

distinguer la dimension par rapport au niveau de gouvernance et aussi par souci de

précision, puisque cette dernière mesurera bien la pertinence accordée à l’ensemble des

contrôles internes que la gouvernance de la FI a mis en place. Cette dimension se situe au

niveau 3 du système de gouvernance de Pérez ;

2 Pérez a défini cette dimension par les termes culturels et identitaires. Nous retiendrons dans notre approche le

terme « identitaire » définissant l'identité d'entreprise, bien que basé sur des individus, qui est un concept plus

large que celui de la culture. En suivant J-P. Larcon et R. Reitter (1979), on peut dire que l'identité est à

l'origine de la culture, c'est elle qui fonde la réalité de l'organisation en lui donnant sa spécificité, sa stabilité et

sa cohérence. Selon les auteurs, l'identité résulte des relations complexes entre des facteurs politiques, des

facteurs structurels, des productions symboliques (culture) et des productions de l'imaginaire organisationnel. 3 Cette dimension s’étend sur deux niveaux puisqu’elle est identitaire, c’est-à-dire qu’elle tient compte de

l’identité, de l’origine culturelle des individus. Etant donné que le niveau 1 touche le management, c’est-à-dire

les individus qui traitent la gestion opérationnelle de l’organisation et que le niveau 2 touche la gouvernance,

c’est-à-dire les individus qui traitent la gestion stratégique de l’organisation, nous nous trouvons sur une

application de la dimension culturelle sur les 2 premiers niveaux décrits par Pérez.

10

- dimension relations partenariales (niveau 4) : cette « nouvelle » dimension rajoute à

l’analyse de Pérez la possibilité d’étudier le niveau 4 de son système de gouvernance. Elle

nous permettra de qualifier les relations de la FI avec le système sportif (olympique ou

général) et avec ses parties prenantes ;

- dimension développement durable (niveau 5) : « nouvelle » également, cette dimension

permettra d’aborder la problématique du système de gouvernance de Pérez au niveau 5,

celui de la métagouvernance. Cette dimension permet de mesurer la prise en compte de la

notion de développement durable par la FI (dimension sociétale), c’est-à-dire, l’évolution

et le développement de la FI dans un ensemble complexe, aussi bien du système sportif

que de la société en général.

D’autres auteurs se sont penchés sur le fonctionnement des organisations et nous continuons

par celles et ceux qui apportent une contribution intéressante au milieu complexe que sont les

organisations internationales à but non lucratif.

2.2.2 Une littérature très fournie

Etant donné que le cadre d’analyse de Pérez (2003) offre une double approche, c’est-à-dire

une analyse organisationnelle et une analyse comportementale, nous pouvons la compléter à

l’aide des recherches des auteurs suivants. Dans le domaine de la gestion avec Boncler

(1995), Conforth (2003) Gomez (1996) et Daily (2003). Du côté identitaire, nous nous

sommes basés sur la théorie de Pérez, côté valeurs sur Cadbury (1992) et pour la flexibilité et

la configuration du pouvoir sur Zintz (2006), Bayle (1999), Mayaux (1996) et Pérez (2003),

Carver (2001). Pour les théories sur les contrôles avec Bouquin (2000), Pérez (2003) et

Dedman, 2002) et pour la communication et l’imputabilité sur les nouvelles normes

(Sarbanes-Oxley, AA1000, SA 8000, SD 21000, …). Dans le cas des relations partenariales

(Gaudin, 2002), Chappelet (1991, 2001, 2002), ainsi que sur les théories sur les parties

prenantes. Pour la partie juridictionnelle, nous avons repris l’approche d’Attali (2006) ou

juridicationnelle de Pérez (2003) et, enfin, pour le développement durable, nous nous sommes

basés sur la SE, l’Agenda 21, etc.

11

2.3 Les domaines technologiques

En sciences politiques comme en sciences sociales, on a tendance à mettre de côté les risques

liés aux nouvelles technologies, favorisant plutôt l’étude du comportement des chefs d’Etat à

vouloir organiser leur nation, la défense de celle-ci, les relations internationales, le

comportement des autres nations par le renseignement, la diplomatie, etc. Cependant, un

monde virtuel, aux sens de ses frontières, du comportement de ses utilisateurs pas toujours

bien intentionnés, des possibilités à se cacher derrière une fausse identité, de mener des

actions similaires à la criminalité, à l’escroquerie, aux jeux d’influence, au chantage, tout

comme à des attaques destructrices connues dans le monde physique, est interconnecté au

monde réel (Ricca, 2003).

Ce monde virtuel, que la nation et/ou le chef d’Etat devrait en quelque sorte s’approprier, est

le cyberespace constitué par le maillage de l’ensemble des réseaux, dont celui de son

administration, son armée, son économie et ses partenaires. Il est radicalement différent de

l’espace physique car il est sans frontière, extrêmement évolutif, totalement anonyme et

l’identification certaine d’un acteur y est très délicate. Les actions dans cet espace virtuel

touchent les espaces connus, économiques, civils et privés, politiques et étatiques, sécuritaires

et militaires. La sécurité de cet espace virtuel, comme évoluer en son sein est, à cet égard,

confrontée à des défis de quatre ordres : technique, juridique, culturel et géopolitique.

(Arcioni, 2010b et Ricca, 2003).

Il y a peu de littérature existante à ce sujet, hormis quelques écrits (Balage, Ch., et Fayon, D.,

2011) et articles traitant des réseaux sociaux et leurs impacts sur la vie sociale, le monde

économique, etc. (Arcioni, S., 2011c). Par contre, dans le monde scientifique, informatique,

télécommunication, physique, etc. une quantité d’auteurs ont et continuent de traiter les

aspects de la sécurité, mais au sens technique (Bond, M., and Clulow, J. 2006). Pour citer les

plus récents, nous avons la thèse d’Eric Jaeger (2010) qui traite de problèmes généraux des

risques liés à la sécurité des systèmes d’information. Les approches formelles de la sécurité

des systèmes d’information se distinguent par leur capacité à donner des garanties

mathématiques quant à l’absence de certains défauts. A ce titre leur utilisation est encouragée

ou exigée par certains standards relatifs à la certification de sécurité (Critères Communs) ou

de sûreté (IEC 61508). D’autres traitent de la sécurité logicielle (Chang, H. and Atallah M., J.,

2001) ou de « sécurité applicative ». Viennent ensuite la sécurité matérielle (Wang, J.,

Stavrou, A. and Ghosh, A., 2010), les cartes à puces, l’encryptage physique (Francillon, A.,

2009 et Ricca, 2005), etc. ainsi que l’encryptage algorithmique, les procédés logicielles de

12

sécurité (pare-feux logiciels, antivirus, etc.) (Abadi, M., Budiu, M., Erlingsson, U. and Ligatti,

J., 2009 et Ricca 2005).

La littérature traite également de la reconnaissance par signature. Par contre, très peu de

recherches ont abordé le sujet du comportement de l’attaquant (virus, ver, malware, etc.)

(Sang, F., L., Lacombe, E., Nicomette, V., and Deswarte, Y., 2010 et Ricca, M., 2002).

D’autre part, on ne trouve quasiment aucune référence à une intelligence collective basée sur

une analyse de type comportementale mais uniquement basée sur la détection de signature et

son analyse. La base de comparaisons comportementales de l’utilisation des cartes de crédit

en est l’exemple le plus concret : un client qui paye sa chambre d’hôtel à New-York et au

même instant effectue un retrait d’argent ou un achat à Paris, verra immédiatement sa carte de

crédit se bloquer.

La notion de cyberterrorisme apparaît également dans les écrits de Barry Collin en 1996 qui le

définit comme « la convergence du monde physique et du monde virtuel ». Cependant,

comme pour le terrorisme, aucun consensus n’a émergé de la définition du cyberterrorisme. Il

existe un flou académique autour de la notion de cyberterrorisme observable dans de

nombreux ouvrages et articles. Deux tendances se dégagent : ceux qui considèrent que le

cyberterrorisme doit regrouper l’ensemble des pratiques des groupes terroristes en ligne et

ceux qui estiment que le terme se restreint à un type d’attaques précis : celles qui utilisent le

réseau Internet comme arme et/ou cible, décrit par Alix Desforges (2011).

Les travaux de Furnell S. et Warren M. (1999), Conway (2004) ou encore Wiemann (2004)

convergent sur de nombreux points. Ils estiment que l’essentiel de ces usages ne sont pas

spécifiques aux pratiques des groupes terroristes mais sont également partagés par des

groupes politiques pour la communication (interne et externe), le recrutement, le financement,

l’organisation etc. Si les termes utilisés par chacun divergent, ils désignent en fait la même

pratique. Par exemple, le terme “data mining” utilisé par Weimann (2004, 2006) recouvre les

mêmes éléments que le terme “information gathering” mentionné par Thomas (2003). Ce

dernier a créé une nouvelle notion pour désigner l’ensemble des pratiques en ligne des

groupes terroristes : le cyberplanning qu’il définit comme « la coordination numérique d’un

plan intégré »4.

Certains auteurs dont Steven Bucci 5 ou Ricca (2003) évoquent l’association des sphères

terroriste et cybercriminelle pour mener des attaques informatiques d’envergure fournissant

ainsi les compétences nécessaires aux groupes terroristes. Cela pourrait tendre en finalité vers

4 www.wikileaks.org 5 http://www.facingthethreat.com/Security_Expert.html

13

une cyberguerre. La palette de définitions du cyberterrorisme disponible à ce jour reflète la

situation complexe de l’utilisation des réseaux informatiques par des groupes terroristes et/ou

criminels. Les rivalités, quant à la définition du périmètre de la cybercriminalité (Guillaneuf,

J., 2012), du cyberterrorisme ou de la cyberguerre, témoignent cependant de l’angoisse réelle

des Etats de voir leur fonctionnement altéré par des attaques informatiques et au-delà de la

prise de conscience des faiblesses potentielles que constitue la dépendance aux systèmes

informatiques.

3. Méthodologie

La méthodologie utilisée pour cette recherche est basée sur une étude de la littérature et de

constatations tirées de la pratique et complétée par une analyse de terrain dans des milieux où

la sécurité prime, tels que l’économie, les états, l’environnement de la défense. De plus, forts

de l’expérience du consultant de terrain, sur le plan de la gouvernance internationale (en

utilisant la gouvernance du sport qui semble être la plus adaptée pour le cyberespace) ainsi

que de l’organisation de la défense d’un Etat (son administration publique, l’e-governement et

les dispositifs des forces armées), nous apporterons le regard du praticien. A cette fin, nous

utiliserons une méthode empirique basée sur les connaissances acquises par la littérature et

envisagerons les perspectives qui permettront de mieux lutter contre les cyberagressions :

comment anticiper, se préserver, tracer, aider, réguler…

L’étude s’est déroulée sous forme de recherche qualitative sur l’ensemble du secteur de la

défense d’Etats et la sécurité des systèmes d’information nationaux mondiaux de 2006 à 2013.

Pour une question de confidentialité, aucun tableau comparatif ni résultat quantitatif ou

qualitatif ne seront exposés. Seules les grandes lignes communes seront développées en tant

que résultat de cette recherche. Ce sont les perspectives que le chercheur mettra en exergue

qui compléteront les résultats.

4. Résultats

Les résultats présentés seront séparés en deux groupes : celui des théories de la gouvernance

des organisations et celui de la technique des modus operandi des entreprises et des

Etats/nations ? (Arcioni, 2011b)

14

4.1 Observation par les théories de la gouvernance

Nous trouvons quasiment toutes les « recettes » de la bonne gouvernance dans la littérature. Il

est vrai que la « recette » englobant toutes les règles de « bonne gouvernance » n’existe pas,

et celles traitant le cyperespace, mais tous les éléments qui constitueront l’idéologie de la

« bonne gouvernance » ont été décrits par un grand nombre d’auteurs (cf. Carver, Cadbury,

Mayaux, Henry, etc.). Que ce soit dans le domaine de la gestion, de la régulation (c’est-à-dire

des contrôles), de l’harmonisation des systèmes, de la normalisation (dans le sens qui tend

vers la certification), une multitude d’éléments sont à disposition des chefs d’Etats, des

juristes, des organes de contrôles, des pouvoirs publics et des organisations elles-mêmes.

Nous proposons le tableau ci-dessous en guise de synthèse de la littérature sur la gouvernance

des associations (plus spécialement sportives). Il rassemble les principales théories de la

gouvernance et les principes qu’elles cherchent à promouvoir et qui pourraient servir à la

gouvernance du cyberespace.

Suite à ce qui a été mis en évidence pour le monde associatif sportif, nous tirons une synthèse

des éléments intéressants qui serviront dans les réflexions sur la gouvernance et du contrôle

(régulation) du cyberespace.

Selon les différentes théories que nous avons énoncées, nous retiendrons :

le modèle de gouvernance traditionnel, la gouvernance « duale », le modèle de

gouvernance lié aux lignes politiques. Certains modèles sont proches les uns des autres,

tandis que d’autres sont diamétralement opposés. Cependant, ils se retrouvent tous dans

les différents types de gouvernance des organisations internationales ;

la théorie des parties prenantes - la gouvernance partenariale et la Policy Governance.

Ces différentes théories sont au centre des problèmes de partage du pouvoir que

connaissent les organisations internationales et sont directement liées à leurs visions

stratégiques ;

Les codes de bonne conduite (par ex. audits « Sarbanes-Oxley6 » pour le monde des

entreprises), les contrôles, les normes (RSE7, SD 21'000, … également valables pour

analyser le développement durable de l’organisation). Ces différentes approches ou

contrôles permettront d’appréhender la problématique des contrôles et des processus

d’audits.

6 Le Sarbanes-Oxley Act de 2002, promulgué à la suite des désastres comptables d'Enron et de WorldCom, est

probablement la loi qui affecte le plus les sociétés cotées en bourse depuis le Securities Exchange Act de 1934. 7 RSE : responsabilité sociale des entreprises

15

Afin de mieux synthétiser tous les travaux et théories appliqués à la gouvernance associative,

nous proposons de nous fonder sur le schéma de Henry (2005) en l’amendant (à la façon d’un

zoom) grâce à l’adjonction de l’ensemble de ces théories et travaux d’une part, et également

des niveaux de gouvernance du modèle de Pérez (2003) d’autre part.

Figure 4-1 : Représentation des théories de la gouvernance et le domaine à couvrir pour le cyberespace

Cette représentation permettra de mieux appréhender les mécanismes de gouvernance d’une

organisation sportive, quels que soient sa taille, ses revenus financiers, son organisation, le

comportement de ses dirigeants, ou son imbrication dans le système sportif.

4.2 Observation par les technologies

Modus operandi de l’économie d’un Etat en matière de protection de son savoir et de ses

systèmes d’information ?

Les entreprises économiques dépensent, en principe, beaucoup d’argent à mettre des remparts,

des forteresses, des ponts-levis (firewall, anti-virus, etc.) devant leurs systèmes d’information

sans toutefois y élever des miradors (système d’observation). Les systèmes d’information des

entreprises sont bien protégés, vu de l’extérieur, si ce n’est qu’il y existe toujours des failles et

16

que le danger vient le plus souvent de l’intérieur de l’entreprise : clés USB, collaborateurs mal

formés ou attaque de type « client side » (Ricca, M., 2005 et 2011).

Nous constatons en conclusion que le monde de l’économie dépense des sommes

considérables pour sa sécurité mais ne dispose pas, en réalité, d’une vraie protection contre les

attaques provenant du cyberespace.

Modus operandi des différentes nations dans le monde en matière de cyberdéfense ?

Les USA accordent une très grande importance à ce domaine. Un « Cyber Commander » a été

créé en 2010, responsable de la conduite des opérations offensives dans le cyberespace et de

la défense des systèmes militaires8. Il dispose d’une antenne dans chaque service : USAF, US

Army, Navy, Marines. Le NSA joue également un rôle clé grâce à des compétences

stratégiques. Le budget de l’année 2011 a été supérieur à 4 Mia d’US$.

En Chine, le maintien du secret empêche une vision claire et rend difficile l’appréciation de la

situation. Cependant, l’inscription du plan quinquennal 2011-2015 du parti au pouvoir

démontre qu’en matière de guerre électronique et d’espionnage cybernétique, l’Etat accorde

une très grande priorité et se dote de moyens importants. L’Etat collabore étroitement avec

des groupes de hackers et des firmes privées leur donnant en échange accès à leurs résultats

R&D. Face aux USA, la Chine tente de rattraper son retard quant à ses moyens militaires

conventionnels, par une supériorité dans le domaine de la guerre de l’information, démontrant

par ce biais l’usage politique du cyberespace (Esselin, F., & Autret, Th., 2013).

La Russie ne dit rien sur ses intentions dans ce domaine. En terme de défense, l’armée semble

fortement orientée sur des mesures d’opérations de sécurité et des procédures héritées de la

guerre froide. En terme de cyberagressions, la Russie paraît très active. L’armée et les

services de renseignement sembleraient bien dotés et soutiendraient financièrement de

nombreuses initiatives pour le développement de compétences chez les jeunes. Cependant,

depuis l’automne 2011, le ministre de la défense en personne, a demandé l’aide de l’OTAN9

et des Etats-Unis. La Russie demande une sorte de « régulation » de l’Internet.

En terme de défense, Israël est confronté à des attaques quotidiennes provenant notamment de

l’Iran et prend cette menace très au sérieux. Au mois de juin 2011, Israël a annoncé la

création d’une unité de cyberdéfense, l’armée et le gouvernement s’étaient concentrés

jusqu’à maintenant uniquement sur le développement de solutions offensives. Leurs moyens

8 http://www.lemonde.fr/technologies/article/2013/07/13/la-cyberguerre-nouvel-enjeu-des-

armees_3446492_651865.html 9 OTAN : Organisation du Traité de l’Atlantique du Nord

17

semblent bien structurés. Sur le plan civil, il existe une branche pour la sécurité des

infrastructures tandis que sur le plan militaire, il en existe trois : sécurité interne, protection

contre les attaques extérieures et défense nationale. Il n’existe toutefois pas d’autorité

générale chapeautant l’ensemble.

L’OTAN dispose d’un CERT et du « NCIRC Technical Centre” bases en Estonie : le NATO

Computer Incident Response Capability - Technical Centre (NCIRC TC) et le NATO

Computer Incident Response Capability (NCIRC). Ce centre de compétences supporte la

communauté des armées de l’OTAN, chaque pays conservant sa propre souveraineté sur la

protection de ses systèmes d’information militaires.

En conclusion, nous constatons qu’aucun pays ne dispose actuellement d’une solution

d’ensemble, d’une coordination et d’une entité de responsabilité suprême. Chaque nation

dépense des sommes considérables en matière de cyberguerre, plus dans des moyens offensifs

que défensifs. Tous les pays, y compris la Russie et la Chine, font appel à des partenariats

privés publics (PPP) pour le développement des technologies du cyberespace et actuellement

aucun Etat ne dispose d’une vraie solution de cyberdéfense. A l’inverse, les Etats pauvres ne

sont pas capables de se protéger efficacement. En conséquence, nous proposons de continuer

nos réflexions sous forme de perspectives.

5. Perspectives

La meilleure façon de lutter contre les cyberagressions est d’anticiper et se préserver par une

régulation/gouvernance du cyberespace. Il faut unir les forces, informer, se protéger,

identifier, dénoncer, aider, etc. A cette fin, il s’agira d’anticiper et de tracer toutes les attaques

se préparant dans le cyberespace.

Plus spécifiquement, si nous abordons la problématique par la métagouvernance, un poste

d’observation international et neutre en matière de surveillance de la gouvernance de

l’Internet pourrait être une réponse à l’attente de nombreux pays.

Ce que la Suisse pourrait offrir comme bons offices

Dans un but philanthropique international et d’union des forces, la Suisse pourrait proposer la

création d’une nouvelle organisation internationale conjointement avec l’Union Internationale

des Télécommunications (UIT), l’Organisation pour la Coopération et la Sécurité en Europe

(OSCE) et l’ONU. En Suisse, la Centrale d'enregistrement et d'analyse pour la sûreté de

l'information (MELANI), réunissant des partenaires qui travaillent dans le domaine de la

sécurité des systèmes informatiques et de l'Internet et de la protection des infrastructures

18

nationales, ne suffit pas ! La Confédération suisse, en tant que pays neutre et pourvoyeur de

« bons offices », devrait aller plus loin et proposer un « Observatoire mondial du contrôle et

de l’observation des cyberagressions » avec :

- un partenariat et une reconnaissance de l’OSCE, d’Interpol, des Etats ;

- une légitimité de sa gouvernance politique (fédéralisme) ;

- une légitimité quant à sa neutralité ;

- une légitimité technologique ;

- une légitimité juridique ;

- une légitimité militaire10.

Pour la Suisse, il serait très facile de créer un tel observatoire en partenariat avec les hautes

écoles de notre pays (EPFZ, EPFL, HES)11, les polices cantonales, Interpol, l’OSCE, l’Office

fédéral de l’informatique, etc. et d’offrir ainsi ses bons offices aux autres Etats dans le monde

sous forme de :

- compétences internationalement reconnues ;

- légitimité de sa démocratie (gouvernance politique duale, fédéralisme) ;

- légitimité quant à sa neutralité, ses technologies, le juridique, le militaire, etc.

- centre technologique d’investigation ;

- centre de formation (en intelligence économique et militaire).

10 http://www.intelligenceonline.fr/ 11 EPFL : Ecole Polytechnique Férérale Lausanne, ETHZ : Eidgenössische Technische Hochschule Zürich, HES :

Hautes Ecoles Spécialisées

19

Cet observatoire pourrait être structuré de la manière suivante :

En cas « d’appel au secours » d’un Etat subissant une « cyberagression », l’observatoire

pourrait proposer ses services (bons offices), analyser les faits, rechercher et identifier

l’attaquant, le dénoncer sur la scène internationale et dresser pour l’avenir une liste de

recommandations et de correctifs à l’Etat concerné. Par ces recommandations, il s’agirait de

mettre en place des systèmes de protection afin de protéger les systèmes d’information de

l’Etat concerné. Ces systèmes de protection devraient être adaptés à la menace mais aussi à

l’environnement et aux données à protéger.

Il est important d’informer de façon systématique et de dénoncer de manière collective et

structurée. Il ne faut pas, sous prétexte de honte, de maintien du secret d’Etat ou tout autre

argument, vouloir passer sous silence le fait d’avoir été attaqué. C’est par la dénonciation en

justice et les plaintes devant une Cour internationale que l’on obtiendra un maximum de

traçabilité et de compréhension de toutes les attaques dans le cyberespace et optimisera la

poursuite et la condamnation des belligérants (c’est en dénonçant, qu’un Etat pourra être

condamné pour avoir nui à un autre Etat). La gouvernance et la régulation de l’Internet

(cyberespace) deviendront les enjeux de ces prochaines années avec tous les contrôles

associés et les éléments de régulation qui tendront ensuite vers une harmonisation entre le

20

cyberespace et l’espace physique (territoires nationaux). Cela rejoint l’approche de la

métagouvernance du sport international qui serait ainsi appliquée au cyberespace.

6. Conclusion

Un modèle métagouverné se caractérise par le fait que l’organisation reconnaisse un système

juridictionnel dans les mains d’une instance supérieure régissant (métagouvernant)

l’environnement dans lequel elle évolue. Ce niveau n’est actuellement pas encore atteint dans

le Cyberespace.

Ce modèle métagouverné représenterait une juridiction unique qui se trouverait au-dessus de

tous les Etats-nations, toutes les organisations, toutes les entreprises, etc. comme s’il se

définissait comme étant le système juridique de la planète (Attali, 2006). Nous pourrions le

comparer au système juridictionnel d’une organisation fédérale (Allemagne fédérale, Suisse,

Etat-Unis et maintenant Union européenne) définissant tous les Etats-nations, les

organisations internationales, les entreprises internationales comme des « Etats » membres du

« système fédéral monde » ainsi que le Cyberespace.

L’intérêt de mettre en place un système de contrôle et d’amélioration de la gouvernance du

Cyberespace est manifeste. Cet intérêt dépasse même largement les mondes technique,

judiciaire, politique (niveau Etat), etc. et offrirait à la Suisse la possibilité de mettre en place

cet observatoire des « modalités de gouvernance » du Cyberespace à l’image d’une

organisation internationale telle que l’UN-Watch. Si le monde tend vers une « économie

relationnelle », comme le prouve Attali (2006)12 ainsi qu’un environnement métagouverné, la

tendance sera de travailler au travers du Cyberespace avec des partenaires qui sont certifiés

par rapport à leur mode de gouvernance, c’est-à-dire respectant l’éthique, la transparence,

l’imputabilité, les responsabilités face à un développement durable. C’est pourquoi, une

grande partie des théories de la gouvernance des entreprises (Corporate Governance)

s’applique au Cyberespace. De plus, il est également intéressant de constater qu’avec les

différents modèles de gouvernance qu’offre le monde du sport, nous avons un champ

d’expérimentation pour le futur, surtout dans ce monde qui évolue et dans lequel le pouvoir

intrinsèque de l’Etat-nation diminue. « Si nous saisissons les grands mouvements socio-

culturels, nous pouvons constater que les coutumes et les lois se sont créées dans toutes les

classes créatives des époques qui se sont succédées. On peut constater que l’humanité a

12 « Une économie qui n’obéit pas aux lois de la rareté : donner du savoir ne prive pas celui qui en donne. Cette

économie permettra de produire et d’échanger des services réellement gratuits – de distraction, de santé,

d’éducation, de relations, etc. –, que chacun jugera bon d’offrir à l’autre et de produire sans autre rémunération

que de la considération et de la reconnaissance » : exactement ce qu’offre le Cyberespace actuellement.

21

toujours trouvé des façons de contourner les vides juridiques par de nouvelles technologies »

(Attali, 2006). Aujourd’hui, c’est le monde de l’Internet qui permet de contourner certaines

lois ou taxes des Etats-nations. Le futur du monde économique ne sera probablement pas une

alternative entre l’économie de marché et autre chose de fondamentalement différent. Attali

(2006) annonce l’arrivée d’une « hyperdémocratie » ou d’une économie relationnelle, qui

n’est autre qu’une économie de l’altruisme qui n’obéira pas aux lois de la rareté, où les

entreprises cesseront de considérer le profit comme une finalité et qui permettra de produire et

d’échanger des services réellement gratuits de distraction, de santé, d’éducation, de relations,

etc. On peut déjà se faire une idée sur le fonctionnement de ces entreprises relationnelles qui

annoncera l’avenir dans le monde économique. Elles seront probablement à l’image des

ONG, Médecins sans frontières, Greenpeace, la Croix-Rouge, du CIO ou encore des FI qui en

constituent, sans aucun doute, le premier exemple. Et, chose étrange, le mode de régulation de

cette « nouvelle » gouvernance se basera probablement sur le modèle que Karl Marx 13 a

conçu à la fin du XIXème siècle.

Cette conclusion ouvre une vision sur l’importance des perspectives proposées dans ce travail

de recherche. Si, dans un futur proche, le monde économique tend vers cette économique

relationnelle décrite par Attali, cela signifierait que le modèle de gouvernance du Cyberespace

comme celui des entreprises économiques se rapprocheront, jusqu’à se confondre, du modèle

de gouvernance des organisations internationales à but non lucratif (OBNL). Les modalités de

gouvernance deviendront proches ou similaires. Cette tendance sera un atout pour la

généralisation des modèles proposés au monde économique. La « bonne gouvernance » du

Cyberespace et ses contrôles par un organisme mondiale tel que pourrait l’être l’OMCOC

décrit ici deviendra alors le référentiel de l’économie de demain.

13 Pour une critique de l’école de la régulation, voir Bidet, J., Kouvelakis, E et Husson, M. (2001). L'école de la

régulation, de Marx à la Fondation Saint-Simon : un aller sans retour ? dans Bidet, J.et Kouvelakis E., (2001).

Dictionnaire Marx contemporain, PUF, Paris.

22

Bibliographie

Abadi, M., Budiu, M., Erlingsson, U. and Ligatti, J., 2009, Control-ow integrity principles,

implementations, and applications. ACM Transactions on Information and System

Security, 13, November 2009.

ANSSI, 2006, Guide n°650 - Menaces sur les systèmes informatiques.

Arcioni, S., 2012, Les enjeux de la cyber-sécurité (3) : les systèmes de protection à analyse

comportementale : le cas Stuxnet, Bulletin de la Société Militaire de Genève, no 1/2012

Arcioni, S., 2011a, Les enjeux de la cyber-sécurité (1) : comprendre les nouvelles menaces et

comment agir, Bulletin de la Société Militaire de Genève, no 5/2011

Arcioni, S., 2011b, Les enjeux de la cyber-sécurité (2) : comprendre les nouvelles menaces et

comment se protéger, Bulletin de la Société Militaire de Genève, no 6/2011

Arcioni S., 2011c, Cyberwar oder der Krieg der Neuzeit, Allgemeine Schweizerische

Militärzeitschrift (ASMZ) 3/2011, Flawil, Schweiz

Arcioni S., 2010b, Cyberwar -. Herausforderungen der Zukunft für Gesellschaft, Wirtschaft

und Armee. Industrieorientierung 2010, Armasuisse Konferenz Security Day, Berne,

Suisse, 4 octobre 2010.

Arcioni S., 2010a, Informationsoperationen, Allgemeine Schweizerische Militärzeitschrift

(ASMZ) 4/2010, Flawil, Schweiz

Arcioni S., 2009, Proposition d’un cadre d’analyse pour l’évaluation de la gouvernance des

Organisations à But Non Lucratif : outil pour la mesure de bonne gouvernance, Cahiers de

l’Association Suisse d’Organisation (ASO) Ed. 2009.

Arcioni, S,. & Vandewalle, P., (2008). Study and classification of the theories of governance

which can be applied to NGO’s: an original approach based on Pérez's analysis

framework, 16th EASM Conference (2008), Bayreuth/Heidelberg, Germany.

Attali, J. (2006). Une brève histoire de l’avenir. Paris : Fayard.

AV.Test : The Independant IT-Security Isntitute (www.av-test.org)

Balage, Ch., et Fayon, D., 2011, Réseaux sociaux et entreprise : les bonnes pratiques, Pearson

Education, Orléan, France

Bidet, J., Kouvelakis, E et Husson, M. (2001). L'école de la régulation, de Marx à la

Fondation Saint-Simon : un aller sans retour ? dans Bidet, J.et Kouvelakis E., (2001).

Dictionnaire Marx contemporain, PUF, Paris.

Block, S. R. (1998). Perfect Nonprofit Boards. Myths, paradoxes and paradigms. Needham,

Heights, MA, Simon & Schuster Custom Publishing.

23

Boncler, J. (2006). De l’intérêt de la recherche en management à travailler sur la gouvernance

des associations gestionnaires. Communication XVème de l’AIMS, Annecy., 126, 136,

137, 139, 140, 175

Bond, M., and Clulow, J. 2006, Integrity of intention (a theory of types for security APIs).

Information Security Technical Report, 11(2):93 – 99.

Bucci Steven : http://www.facingthethreat.com/Security_Expert.html

Cadbury, A. (1992). Code of best practices., 82, 341

Caiger, A. & Gardiner, S. (Eds) (2000). Professional Sport in the European Union :

Regulation and Re-regulation. The Hague : Time Asser.

Carver, J. (2001). Carver's Policy Governance Model in Nonprofit Organizations. The

Canadian journal Gouvernance - revue internationale. Vol. 2. nos. 1, pp. 30-48.

Carver, J. (1997), Boards that make a difference : A new design for leadership in non-profit

and public organizations (2nd edn). San Francisco : Jossey-Bass

Cabinet du Premier Ministre, 2013. Cybersécurité, l'urgence d'agir, Note d'analyse 324 - Mars

2013, République française, Paris.

Chaker, A.-N. (2004). Bonne gouvernance dans le sport. Une étude européenne. Strasbourg :

Conseil de l’Europe.

Chang, H. and Atallah M., J., 2001, Protecting software code by guards. In ACM Workshop

on Security and Privacy in Digital Rights Management. ACM Workshop on Security and

Privacy in Digital Rights Management, Philadelphia, Pennsylvania, November 2001.

Chappelet, J.-L. (2006). La gouvernance du Comité international olympique. Article pour le

livre : Gouvernance des organisations sportives, coordonné par Bayle E. et Chantelat P.

Clarke, T. (2004). Theories of Corporate Governance : The Philosophical Foundations of

Corporate Governance. USA : Routledge.

Collin, B., 1996, The Future of CyberTerrorism : Where the Pysical and Virtual Worlds

Converge, 11th Annual International Symposium on Criminal Justice Issues.

Conway, M., 2006, Cyberterrorism: Academic Perspectives., 3rd European Conference on

Information Warfare and Security, 2004, p. 41-50.

Conway, M., 2006, Terrorist “use” of the Internet and Fighting Back, Information and

Security, An International Journal, vol. 19, 2006, p. 9-30.

Desforges, A., 2011, « Cyberterrorisme : quel périmètre ? », Fiche de l’Irsem n° 11,

http://www.irsem.defense.gouv.fr

Drucker, P.F. (1990). Managing the Non-profit Organization, New York : Harper Collins.

Drucker, P. F. (1974). Management : Tasks, Responsibilities, Practices. New York :

24

HarperCollins.

Esselin, F., & Autret, Th., 2013. Cotation des cyberattaques - Quelles mesures pour les

attaques immatérielles ?. Eyrolles, Paris.

Francillon, A., 2009, Attacking an Protecting Constrained Embedded Systems from Control

Flow Attacks. PhD thesis, Institut Polytechnique de Grenoble.

Fletcher, K. B. (1999). Four Books on Nonprofit Boards and Governance. Nonprofit

management and leadership 9, no 4, p. 436

Furnell, S., et Warren, M., 1999, Computer Hacking and Cyber terrorism : the Real Threats in

the New Millenium, Computers and Security, vol. 18, n°1, 1999, p. 30-32

Geneen, H. S. (1984). Why Directors Can't Protect the Shareholders. Fortune. No 110, 28-29.

Godet, M., Monti, R., et Roubelat, F., 1997, Manuel de prospective stratégique. 1 : une

indiscipline intellectuelle ; 261 p., fig., ref. bib. : 11 p.3/4

Godfrain (Loi), 1988. Loi n°88-19 du 5 janvier 1988 relative à la fraude informatique. Paris.

Guillaneuf, J., 2012. La cybercriminalité et les infractions liées à l'utilisation frauduleuse

d'internet : éléments de mesure et d'analyse. INHESJ/ONDRP

Henry, I.P. (2005). Governance in sport : a political perspective. Institute of Sport and Leisure

Policy, Loughborough University.

Herman, R. & Heimovics, R. (1994). Cross national study of a method for researching non-

profit organisational effectiveness. Voluntas. Vol. 5 No.1, pp. 59-85., 157

Herman, R. D. and Heimovics, R. D. (1991). Executive Leadership in Nonprofit

Organizations. San Francisco: Jossey-Bass.

Herman, R. D. & Heimovics, R. D. (1990). The Effective Nonprofit Executive : Leader of the

Board, in Nonprofit Management & Leadership, Vol. 1, Nr. 2, Winter, NML 0, 167-180.

Hermel, L., 2007, Veille stratégique et intelligence économique, AFNOR, La Plaine Saint

Denis, France

Houle, C. O. (1997). Governing Boards: Their Nature and Nurture. San Francisco: Jossey-

Bass.

Hoye, R., Cuskelly, G. (2003). Sport Governance (Sport Management), New York :

Butterworth-Heinemann Eds.

Hoye, R., Smith, A., Westerbeek, H., Stewart, B., Nicholson, M. (2005). Sport Management.

USA : Butterworth Heinemann : Elsevier. Chapter 10.

Hums, M. A. & MacLean, J. C. (2004). Governance and Policy in Sport Organizations.

Scottsdale, Arizona : Holcomb Hathaway.

IEC 61508 : Functional safety of electrical, electronic, programmable electronic safety-related

systems. http://www.iec.ch/zone/fsafety/.

ISO/IEC 15408 : Common criteria for information technology security evaluation.

25

http://www.commoncriteriaportal.org/.

Jaeger, E., 2010, Etude de l’apport des méthodes formelles déductives pour les

développements de sécurité, Thèse de doctorat, Université Pierre et Marie Curie, Lip6,

doctorat en informatique, Paris

Katwala, S. (2000). Democratising Global Sport. London : The Foreign Policy Center.

Mayaux, F. (1996), Noyau stratégique des associations : quel partage des pouvoirs entre

dirigeants bénévoles et dirigeants salariés ?. Thèse de Doctorat en Sciences de Gestion,

Université Lyon 3., 123, 144, 347

Murray, Vic. (1994). Is Carver's Model Really the One Best Way ?. Front & Centre. Sept., 11.

Pérez, R. (2003). La gouvernance de l’entreprise. Paris : Ed. La Découverte

Pesqueux, Y. (2000). Le gouvernement d’entreprise comme idéologie. Paris : Ellipses.

Ricca, M., 2011, A New Computer Security Gold Standard, Banking Solutions: Stakes of

Security, October 2011.

Ricca, M., 2005, Building a platform and user identification mechanism using Trusted

Computing, Ecole Polytechnique Fédérale de Lausanne, Bristol Hewlett-Packard

Laboratories Research.

Ricca, M., 2003, Internet au service de la criminalité économique ?, Revue Economique et

Sociale, Lutte contre la criminalité économique: prévenir, détecter, réprimer, Septembre

2003, Numéro 3.

Ricca, M., 2002, DNS Spoofing, Ecole Polytechnique Fédérale de Lausanne, LASEC, March

2002.

Sang, F., L., Lacombe, E., Nicomette, V., and Deswarte, Y., 2010, Exploiting an I/OMMU

vulnerability. In MALWARE '10: 5th International Conference on Malicious and

Unwanted Software, pages 7-14, 2010.

Suchman, M.C. (1995). Managing Legitimacy : Strategic and Institutional Approaches.

Academy of Management Review, 20, 3, 571-611.

Symantec Connect : www.securityfocus.com/.

Theodoraki, E.I. &. Henry, I.P (1994). Organisational Structures and Contexts in British

National Governing Bodies of Sport. International Review for Sociology of Sport,

München, Vol. 23, no 3, pages 243- 263.

Thomas, T., 2003, Al Qaeda and the Internet: the Danger of “Cyberplanning”, Parameters,

printemps 2003, p.112-123.

US Army DOD Directive 3600.1, Information Operations (IO), SD-106 Formal Coordination

Draft.

26

Vives, X. (2000). Corporate Governance : Theoretical and Empirical Perspectives,

Cambridge : Xavier Vives (Ed), University Press.

Wang, J., Stavrou, A. and Ghosh, A., 2010, Hypercheck: a hardware-assisted integrity

monitor. In Proceedings of the 13th international conference on Recent advances in

intrusion detection, RAID'10, pages 158-177. Springer-Verlag, 2010

Wiemann, G., 2006, Terror on the Internet: The New Arena, The New Challenge,

Washongton DC.

Wiemann, G., 2004, www.terror.net – How Modern Terrorism Uses the Internet, Washington

DC, US Institute of Peace.

Internet :

Intelligence Online : http://www.intelligenceonline.fr/ : Intelligence online Cyberguerre,

2013, Quels droits pour les cyber-soldats ? no 689 29 mai 2013

Le Monde : http://www.lemonde.fr/technologies/article/2013/07/13/la-cyberguerre-nouvel-

enjeu-des-armees_3446492_651865.html

Wikileaks : www.wikileaks.org.